Payment Card Industry Data SECURITY Standard
PCI DSS
PCI DSS uyumluluğu, kurumunuzun ödeme işlemlerinde bireysel ve kurumsal müşteriler tarafından tercih edilmesi için değer ve güven sağlamaktadır. PCI QSA firması olarak 24 Solutions Turkey, PCI DSS uyumluluğu konusundaki tüm ihtiyaçlarınız için uçtan uca benzersiz bir çözüm sunmaktadır.
PCI DSS NEDİR?
PCI DSS en iyi güvenlik uygulamalarını yansıtan gerekliliklerden oluşmaktadır.
PCI DSS, kart sahibi verilerini korumak için PCI Güvenlik Standartları Konseyi (Payment Card Industry Security Standards Council – PCI SSC) tarafından belirlenen 12 teknik ve operasyonel makro gereksinimdir.
PCI SSC; American Express, MasterCard, Visa, Discover Financial Services ve JCB tarafından kurulmuştur. Standartlar, kart sahibi verilerini işleyen, ileten ve/veya saklayan tüm kuruluşlar ve hizmet sağlayıcılar için geçerlidir.
Vurgulamak istediğimiz çok önemli bir nokta; PCI DSS standardına tabi olmak için kart verisi saklamanız zorunlu değildir, kart verisini sadece iletiyor olmak bile PCI DSS uyumluluğuna sahip olmanız gerektiği anlamına gelmektedir.
PCI DSS HAKKINDA EN ÇOK SORULAN SORULAR
PCI DSS Açılımı Nedir?
PCI DSS (Payment Card Industry Data Security Standard), ödeme kartı endüstrisinde veri güvenliğini sağlamak için oluşturulan bir dizi standarttır. Bu standartlar, kart sahibi bilgilerini korumak ve kart dolandırıcılığını önlemek amacıyla Visa, MasterCard, American Express, Discover ve JCB gibi büyük kart markalarının ortaklaşa oluşturduğu bir güvenlik standardıdır.
PCI SSC Nedir?
PCI SSC; American Express, MasterCard, Visa, Discover Financial Services ve JCB tarafından kurulmuştur. Standartlar, kart sahibi verilerini işleyen, ileten ve/veya saklayan tüm kuruluşlar ve hizmet sağlayıcılar için geçerlidir.
PCI DSS Sertifikası Nedir?
PCI DSS sertifikası, bir işletmenin PCI DSS standartlarına uyum sağladığını belgeleyen bir sertifikadır. Bu sertifika, işletmelerin müşterilerinin ödeme kartı bilgilerini güvenli bir şekilde işlediğini, sakladığını ve ilettiğini doğrular. Sertifikasyon süreci, genellikle bir üçüncü taraf değerlendirme kuruluşu tarafından gerçekleştirilir.
PCI DSS Sertifikası Nasıl Alınır?
PCI DSS sertifikası almak için aşağıdaki adımlar izlenir:
- Hazırlık: Mevcut güvenlik durumu değerlendirilmeli ve gerekli iyileştirmeler yapılmalıdır.
- Kendi Kendine Değerlendirme: Küçük ve orta ölçekli işletmeler, PCI DSS Self-Assessment Questionnaire (SAQ) doldurabilirler.
- Denetim: Büyük işletmeler, bir PCI QSA (Qualified Security Assessor) tarafından denetlenir.
- Raporlama: Uyum sağlandıktan sonra, bir Uyumluluk Raporu (ROC) hazırlanır ve ilgili kart markalarına sunulur.
- Sertifikasyon: Tüm gereksinimlerin karşılandığı doğrulandıktan sonra sertifikasyon sağlanır.
PCI Test Nedir?
PCI test, PCI DSS uyumluluğunu sağlamak için yapılan testleri kapsar. Bu testler, genellikle ağ güvenlik taramaları ve penetrasyon testleri gibi teknik güvenlik değerlendirmelerini içerir. Amaç, sistemlerin güvenliğini test etmek ve olası zayıflıkları belirlemektir.
PCI DSS Güvenlik Taraması Nedir?
PCI DSS güvenlik taraması, dış kaynaklı tehditlere karşı ağların ve sistemlerin güvenliğini değerlendirmek için yapılan taramalardır. Bu taramalar, PCI DSS uyumluluğunu sağlamak için belirli aralıklarla yapılır ve zayıf noktaların tespit edilmesine yardımcı olur. ASV (Approved Scanning Vendor) tarafından gerçekleştirilir.
PCI Denetimi Nedir?
PCI denetimi, bir işletmenin PCI DSS standartlarına uyum sağlayıp sağlamadığını belirlemek için yapılan resmi bir değerlendirmedir. Denetim, genellikle QSA tarafından yapılır ve işletmenin tüm güvenlik politikaları, prosedürleri ve teknik önlemleri gözden geçirilir.
PCI Uyumluluğu Nedir?
PCI uyumluluğu, bir işletmenin PCI DSS standartlarına uygun olarak işlem yaptığı anlamına gelir. Bu uyumluluk, işletmelerin kart sahibi bilgilerini korumasını ve olası güvenlik ihlallerini önlemesini sağlar.
PCI DSS Uyumluluk Seviyeleri Nelerdir?
PCI DSS uyumluluk seviyeleri, işletmenin yıllık kart işlemi hacmine göre belirlenir:
- Seviye 1: Yıllık 6 milyondan fazla kart işlemi.
- Seviye 2: Yıllık 1 milyon ile 6 milyon kart işlemi arasında.
- Seviye 3: Yıllık 20.000 ile 1 milyon kart işlemi arasında.
- Seviye 4: Yıllık 20.000’den az kart işlemi.
PCI DSS Ne İşe Yarar?
PCI DSS, ödeme kartı bilgilerinin güvenliğini sağlamaya yönelik bir dizi standarttır. Bu standartlar, dolandırıcılığı önlemek ve müşterilerin finansal bilgilerini korumak amacıyla uygulanır. PCI DSS uyumluluğu, işletmelerin güvenlik risklerini azaltmasına ve müşteri güvenini artırmasına yardımcı olur.
PCI DSS 4.0 Hakkında Bilinmesi Gerekenler Nelerdir?
PCI DSS 4.0, PCI DSS standartlarının en güncel versiyonudur ve aşağıdaki yenilikleri içerir:
- Esneklik Artışı: Daha esnek güvenlik kontrolleri ve uyum yolları sunar.
- Modern Tehditlere Uyum: Gelişen tehdit ortamına karşı daha güçlü koruma sağlar.
- Performans İzleme: Güvenlik performansının sürekli izlenmesini ve raporlanmasını teşvik eder.
- Özelleştirilebilir Kontroller: İşletmelerin kendi risklerine göre güvenlik kontrollerini özelleştirmelerine olanak tanır.
PCI DSS Standartları Nelerden Oluşur?
PCI DSS standartları, kart sahibi verilerini korumak için belirlenen 12 ana gereksinimi içerir:
- Güvenli ağ ve sistemler oluşturma ve sürdürme.
- Kart sahibi bilgilerini koruma.
- Güvenlik açığı yönetimi programı sürdürme.
- Güçlü erişim kontrol önlemleri uygulama.
- Ağ erişimini izleme ve test etme.
- Bilgi güvenliği politikasını sürdürme.
- Güvenlik sistemleri ve uygulamalarının geliştirilmesi ve bakımı
- Güvenli sistem ve uygulama geliştirme
- Güvenli erişim kontrolleri
- Kart sahibi verilerini koruma
- Düzenli güvenlik testleri ve izleme
- Bilgi güvenliği politikaları oluşturma
PCI DSS Temel Gereksinimleri Nelerdir?
- Güvenli Bir Ağ Oluşturma ve Sürdürme
1.1 Bir güvenlik duvarı yapılandırması oluşturun ve sürdürün: Güvenlik duvarları, ağları izinsiz girişlere karşı korur. Bu adımda, güvenlik duvarları ve yönlendiriciler için yapılandırma standartları oluşturulmalıdır.
1.2 Güvenlik duvarı yapılandırmalarını değişikliklere karşı koruyun: Güvenlik duvarı kurallarının ve yapılandırmalarının düzenli olarak gözden geçirilmesi ve güncellenmesi gerekir.
- Kart Sahibi Verilerini Koruma
2.1 Saklanan kart sahibine ait verileri koruyun: Saklanan kart verilerinin şifrelenmesi veya maskelenmesi gereklidir.
2.2 Kart verilerinin iletim sırasında korunmasını sağlayın: Kart verileri internet veya açık ağlar üzerinden iletilirken güçlü şifreleme yöntemleri kullanılarak korunmalıdır.
- Bir Güvenlik Açığı Yönetimi Programı Sürdürme
3.1 Güvenlik açıkları ve tehditlere karşı koruma sağlayın: Anti-virüs yazılımları ve anti-malware çözümleri kullanılarak sistemler korunmalıdır.
3.2 Sistemleri ve uygulamaları güvenlik açıklarına karşı güncel tutun: Yazılım güncellemeleri ve yamaları düzenli olarak uygulanmalıdır.
- Güçlü Erişim Kontrol Önlemleri Uygulama
4.1 Kart sahibi bilgilerine erişimi kısıtlayın: Kart bilgilerine erişim sadece iş gereksinimleri doğrultusunda izin verilmelidir.
4.2 Benzersiz bir kimlik ile erişimi tanımlayın ve izleyin: Her kullanıcı için benzersiz bir kimlik belirlenmeli ve erişim kayıtları tutulmalıdır.
4.3 Fiziksel erişimi kısıtlayın: Kart sahibi verilerine fiziksel erişim, yetkisiz kişilerden korunmalıdır.
- Ağ Erişimini İzleme ve Test Etme
5.1 Ağ erişim ve güvenlik kontrollerini izleyin ve test edin: Ağda gerçekleşen tüm erişimler ve güvenlik kontrolleri düzenli olarak izlenmeli ve test edilmelidir.
5.2 Ağ trafiğini ve sistem aktivitelerini izleyin: Tüm ağ trafiği ve sistem aktiviteleri, olası güvenlik ihlallerini tespit etmek için izlenmelidir.
- Bilgi Güvenliği Politikasını Sürdürme
6.1 Bilgi güvenliği politikaları oluşturun ve sürdürün: Tüm çalışanlar için bilgi güvenliği politikaları oluşturulmalı ve uygulanmalıdır.
6.2 Çalışanlara düzenli olarak güvenlik eğitimi verin: Çalışanların bilgi güvenliği konusunda bilinçlenmesi için düzenli eğitimler verilmelidir.
- Güvenlik Sistemleri ve Uygulamalarının Geliştirilmesi ve Bakımı
7.1 Güvenlik açıklarını belirlemek ve gidermek için güvenlik sistemlerini ve uygulamalarını düzenli olarak gözden geçirin: Düzenli taramalar ve değerlendirmeler yaparak güvenlik açıkları tespit edilmeli ve düzeltilmelidir.
7.2 Güvenli yazılım geliştirme süreçleri uygulayın: Yazılım geliştirme sırasında güvenlik standartları ve en iyi uygulamalar takip edilmelidir.
- Güvenli Sistem ve Uygulama Geliştirme
8.1 Güvenli kodlama standartlarına uyun: Yazılım geliştirme sürecinde güvenli kodlama standartlarına uygun kodlama yapılmalıdır.
8.2 Yazılım ve sistemlerin güvenliğini test edin: Geliştirilen yazılım ve sistemler, güvenlik açıkları açısından düzenli olarak test edilmelidir.
- Güvenli Erişim Kontrolleri
9.1 Fiziksel erişimi kontrol altına alın: Kart sahibi verilerinin bulunduğu fiziksel alanlara erişim kısıtlanmalı ve kontrol edilmelidir.
9.2 Yetkisiz fiziksel erişimi önlemek için güvenlik kontrolleri uygulayın: Fiziksel güvenlik önlemleri, izinsiz erişimi önlemek için uygulanmalıdır.
- Kart Sahibi Verilerini Koruma
10.1 Kart sahibi verilerini koruyun: Kart sahibi verileri, izinsiz erişim ve ifşaya karşı korunmalıdır.
10.2 Kart sahibi verilerinin güvenliğini sağlayacak kontrolleri uygulayın: Kart verilerinin güvenliğini sağlamak için uygun güvenlik kontrolleri uygulanmalıdır.
- Düzenli Güvenlik Testleri ve İzleme
11.1 Düzenli güvenlik değerlendirmeleri ve testleri gerçekleştirin: Güvenlik açıklarını belirlemek için düzenli değerlendirmeler ve testler yapılmalıdır.
11.2 Güvenlik olaylarını izleyin ve kayıt altına alın: Güvenlik olayları izlenmeli ve detaylı olarak kayıt altına alınmalıdır.
- Bilgi Güvenliği Politikaları
12.1 Bilgi güvenliği politikaları oluşturun ve sürdürün: İşletmenin genel bilgi güvenliği stratejisini ve politikalarını belirleyin.
12.2 Bilgi güvenliği politikalarını düzenli olarak gözden geçirin ve güncelleyin: Bilgi güvenliği politikaları düzenli olarak gözden geçirilmeli ve güncellenmelidir.
Bu 12 gereksinim, PCI DSS uyumunun sağlanması için kapsamlı bir çerçeve sunar ve kart sahibi verilerinin güvenliğini sağlamak için gerekli adımları tanımlar.
PCI DSS Eğitimi Nedir?
PCI DSS eğitimi, işletmelerin PCI DSS standartlarına uyum sağlamaları için gerekli bilgi ve becerileri edinmelerini sağlayan bir eğitim programıdır. Bu eğitimler, güvenlik politikaları, veri koruma yöntemleri ve uyumluluk süreçleri hakkında bilgi verir.
PCI DSS Sertifikası Nedir?
PCI DSS sertifikası, bir işletmenin PCI DSS standartlarına uygunluğunu belgeleyen bir sertifikadır. Bu sertifika, işletmelerin müşterilerinin ödeme kartı bilgilerini güvenli bir şekilde işlediğini, sakladığını ve ilettiğini doğrular.
PCI DSS Sertifikasının Geçerliliği Ne Kadardır?
PCI DSS sertifikası genellikle bir yıl süreyle geçerlidir. Her yıl düzenli olarak yenilenmesi ve uyumluluk sürecinin tekrar değerlendirilmesi gerekmektedir.
PCI DSS Zorunlu Mudur?
Evet, PCI DSS zorunludur. Ödeme kartı işlemleri yapan tüm işletmeler, PCI DSS standartlarına uymak zorundadır. Bu, hem kart markaları hem de müşterilerin güvenliğini sağlamak için gereklidir.
STOCKHOLM
Smedjegatan 2C Nacka Stockholm-Sweden
ROMA
via dell'Umiltà, 49 - 00187
Roma (RM)–Italy